Versionen im Vergleich

Alte Version 1

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 2

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Seiteneigenschaften


Description:

Zur Steigerung der Verfügbarkeit können zwei Unified Firewalls als HA-Cluster To improve the availability two Unified Firewalls can be set up in an HA cluster (High Availability) konfiguriert werden. Dabei fungiert eine Firewall als Master und die andere als Slave. Die Konfiguration sowie die Status-Informationen der Master Firewall werden auf die Slave Firewall synchronisiert. 

Kommt es zu einem Ausfall der Master Firewall, wird die Slave Firewall zum neuen Master und übernimmt sämtliche Netzwerk-Kommunikation. Zur Bekanntgabe der neuen MAC-Adresse an die Netzwerk-Teilnehmer wird ein Gratuitous ARP Paket je Netzwerk versendet.

. In doing so one Firewall acts as the Master and the other one as a Slave. The configuration as well as status information is synchronized from the Master Firewall to the Slave Firewall.

If an outage of the Master Firewall occurs, the Slave Firewall becomes the new Master and takes over all network communication. To announce the new MAC address a Gratuitous ARP packet is sent for each network.

Info

TCP connections are tracked via Connection Tracking and are synchronized to the Slave Firewall. However UTM functions such as IDS/IPS cannot be synchronized. Thus after a roll change all existing connections, which are scanned by a UTM function, are interrupted.

Info

TCP-Verbindungen werden per Connection-Tracking nachgehalten und werden auch auf die Slave Firewall synchronisiert. UTM-Funktionen wie die IDS/IPS können allerdings nicht synchronisiert werden. Daher werden nach einem Rollenwechsel alle bestehenden Verbindungen, welche durch eine der UTM-Funktionen geprüft werden, unterbrochen. 



Requirements:

  • LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.3
  • Zwei Unified Firewalls des gleichen Modell-Typs ab UF-200 
  • Gleiche Firmware-Version auf beiden Unified Firewalls
  • Eine Unified Firewall Lizenz
  • Vollständig abgeschlossene Konfiguration auf der Firewall, welche als Master fungiert
  • Mindestens ein freier Ethernet-Port auf beiden Geräten
  • Der Switch im lokalen Netzwerk muss das Gratuitous ARP der Slave Firewall übertragen
  • Web-Browser zur Konfiguration der beiden Unified Firewalls

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox
Info

Ein HA-Cluster kann nur bei Verwendung der Reihenschaltung oder im Standalone-Betrieb verwendet werdenAn HA cluster can only be used in a scenario with a series connection or stand-alone operation.




Scenario:

  • Die Ethernet-Ports werden auf beiden Unified Firewalls gleich konfiguriert und verkabelt
    • eth0 wird für die Internet-Verbindung zum vorgeschalteten Router verwendet und geht zu einem zwischengeschalteten Switch
    • eth1 wird für das lokale Netzwerk verwendet und geht zu einem Switch
    • eth3 wird für die Verbindung der beiden Unified Firewalls zur Cluster-Synchronisation verwendet (Cluster Interconnect)

...